AWS、Google Cloud をより安全に
セキュリティリスクを可視化するクラウド診断
クラウド診断から改善施策までワンストップでサポート
Comprehensive answer for your cloud
sercurity
AWS、Google Cloud を対象とするクラウド診断は、クラウドの設定不備やクラウド上に構築されたアプリケーションの安全性について、経験豊富なセキュリティエンジニアが攻撃者目線で評価を行う診断サービスです。クラウド診断の結果、深刻なセキュリティリスクが見つかった際は、効果的な対策のご提案、技術支援までCloudCREWが包括的にサポートします。
クラウド上で起こりうる重大脅威を防ごう
Prevent serious security threats on cloud
世界最大のサイバーセキュリティ専門家資格の非営利団体である(ISC)²によると、クラウド上で発生した重大脅威としてクラウドの設定不備、安全でないインターフェース/API、機微情報の漏えいが上位にあがると発表されています。クラウド診断では、クラウド上で起こりうる重大脅威のリスク低減を主眼に置き、クラウドの特性に応じた高度なセキュリティ診断を実施します。AWS利用時によく見つかる設定不備や管理上のポイント、そしてホワイトハッカーの視点によるクラウド診断の有効性を解説する記事をご用意しています。
-
62%
クラウドの設定不備 -
54%
安全でないインターフェース -
51%
機微情報の漏えい -
50%
許可されていないアクセス -
44%
アカウントやサービスの
ハイジャック -
37%
海外からのサイバー攻撃
クラウドの特性に応じたセキュリティ診断で、
リスク低減
文献:(ISC)², 2022 Cloud Security Report, 2022/9/1アクセス
対応クラウド一覧
CloudCREWで課題解決
CloudCREW, your solution
- クラウド環境の設定ミスや脆弱性の見落としなどを把握したい
- クライアントから、システム納品前の脆弱性診断を課されている
- コンプライアンス順守の一環で、定期的な脆弱性診断が必要
- セキュリティエンジニアによる評価を受け、安全性を確認したい
- セキュリティリスクが見つかったら、エンジニアによる技術支援を受けたい
クラウド診断の手法
Method of cloud security assessment
CloudCREWは、脆弱性診断に特化した情報セキュリティ企業であるGMOサイバーセキュリティ byイエラエ株式会社と提携しています。実績豊富なセキュリティエンジニア、主要クラウドの認定資格を受けたエンジニアが中心となって検査を行います。
クラウド診断では、AWS、Google Cloud 上のクラウド環境に潜む設定ミス、管理の甘い機微情報、OSやサービスの脆弱性など、対処すべきセキュリティリスクを洗い出します。Amazon Inspector、Orca Securityといった定評あるツールを使った診断やセキュリティエンジニアによるマニュアル診断など、お客さまの要件にあわせて最適な診断をご希望のタイミングにて実施します。
CloudCREWなら、ワンストップで課題解決
- 診断結果報告書のご提出
- リスク低減に向けた AWS / Google Cloud の技術支援サービス
※
ライトプランでは、AWSが提供する自動脆弱性管理サービス「Amazon
Inspector」を利用して診断いたします。Amazon
Inspectorを利用した診断イメージは、「AWS脆弱性診断」をご確認ください。
※
スタンダード、アドバンスド、カスタムプランでは、Orca
Securityの診断ツールを利用して診断します。また、セキュリティエンジニアによるマニュアル診断を実施します。
※
マニュアル診断では、攻撃者の視点を持つセキュリティエンジニアが、高度な攻撃を想定した上で手動による診断を行います。
※
カスタムプランでは、AWS Lambda、Firebase
などを利用したサーバレスアプリケーションを対象としたクラウド診断も可能です。
クラウド診断のプラン
Plans of cloud vulnerability assessment
クラウド診断では、診断手法、診断範囲の異なる4種類のプランをご用意しています。ご希望の納期、ご予算、ご要件に応じて、カスタマイズのご相談を承ります。
スマートフォンでご覧のお客さまは、表を右にスクロールして各プランの詳細をご確認ください。
| プラン名 |
クラウド診断 ライトプラン |
クラウド診断 スタンダードプラン |
クラウド診断 アドバンスドプラン |
クラウド診断 カスタムプラン |
|---|---|---|---|---|
| 対象クラウド環境 | AWS | AWS / Google Cloud | AWS / Google Cloud | AWS / Google Cloud |
| 診断手法 | 「Amazon Inspector」によるツール診断 | 「Orca Security」によるツール診断 | 「Orca Security」によるツール診断およびエンジニアによるマニュアル診断 | 「Orca Security」によるツール診断およびエンジニアによるマニュアル診断 |
| プラン内容 |
|
|
スタンダードプランの診断内容に加えて、以下に対応:
|
アドバンスドプランの診断内容に加えて、以下に対応:
|
| 主な診断対象 | Amazon EC2を中心に構成されたアプリケーション | CISベースラインを基準として評価したいアプリケーション | Amazon EC2、Google Cloud のIaaS/PaaSを中心に構成されたアプリケーション |
|
| サーバーレス(FaaS)/コンテナ(CaaS)対応 | ― | ― | ― | ○ |
| 診断結果報告書 |
|
診断結果報告書(日本語) | 診断結果報告書(日本語) | 診断結果報告書(日本語) |
| 料金(税込) | 242,000円 ※3 | 個別見積もり | 個別見積もり | 個別見積もり |
※
料金はすべて税込みです。
※
深刻な問題が発見された場合、診断実施日の翌々営業日までにご報告いたします。
※
診断結果報告書のご提出より1カ月間は、診断結果に対するお問い合わせを承ります。
※
訪問またはオンラインによる報告会、再診断はオプションで承ります。
※1 米国のCIS(Center
For Internet Security)が発行する「CISベンチマーク(CIS
Benchmarks)」は、情報システムを安全に構築・維持管理するためのベストプラクティスをまとめたガイドラインです。
※2
CWPP(クラウドワークロード保護プラットフォーム)項目は、VM、コンテナ、データベース、アプリケーションなどのクラウド
ワークロードを保護する項目です。
※3 Amazon EC2
1台の料金です。
クラウド診断の主な診断項目
Cloud security assessment checklist
クラウド診断の診断項目は、お選びのプランによって異なります。
スタンダードプランでは、CWPP項目に対応しています。また、CISベンチマーク基準でクラウドセキュリティを評価します。AWS上のクラウド環境を診断する際の主な診断内容です。一部抜粋となります。
スマートフォンでご覧のお客さまは、表を右にスクロールして各プランの詳細をご確認ください。
| 対象クラウド環境 AWS プラン名 スタンダードプラン | ||
|---|---|---|
| CWPPの主な診断項目 | ||
|
||
| 種類 | 項目数 | 主な診断項目 |
| IDおよびアクセス管理 | 22 |
rootアカウントにアクセスキーが設定されていないこと rootアカウントがMFAにより保護されていること IAMユーザーへの権限の割り当ては、グループを介してのみ行われていること |
| ストレージ | 3 |
すべてのAmazon
S3バケットに保存時の暗号化が採用されていること Amazon EBS ボリュームの暗号化が有効になっていること |
| ロギング | 11 |
Amazon CloudTrail
ログファイルの検証が有効化されていること Amazon CloudTrail ログの Amazon S3 バケットが公開設定となっていないこと |
| モニタリング | 15 |
許可されていないAPIコールに対して、アラーム通知設定されていること MFAなしでのAWSマネジメントコンソールログインに対して、アラーム通知設定されていること |
| ネットワーク | 6 |
ネットワークACLで、0.0.0.0/0からポート22番(SSH)への接続が許可されていないこと デフォルトのセキュリティグループがすべての通信を許可していないこと |
クラウド診断のアドバンストプランでは、スタンダードプランと同様に「Orca クラウド診断のアドバンストプランでは、スタンダードプランと同様に「Orca Security」を用いたツール診断を実施します。そして、セキュリティエンジニアが多様な診断観点からクラウドセキュリティを評価します。スタンダードプランの診断内容に加えて、AWS上のクラウド環境をセキュリティエンジニアがマニュアル診断する際の主な診断内容です。一部抜粋となります。
スマートフォンでご覧のお客さまは、表を右にスクロールして各プランの詳細をご確認ください。
| 対象クラウド環境 AWS プラン名 アドバンスドプラン | ||
|---|---|---|
| 種類 | 主な診断項目 | 診断内容 |
| アーキテクチャ | 設計上の不備がないか検証 | 署名付きURLを利用すべき場面でCognito IDプールを利用するなど、アプリケーション設計において問題がないか検証 |
| 認証認可(RBAC) | BaaSユーザー設定の検証 | Cognitoユーザーに付与される権限やFirebase Security Ruleが適切かなど検証 |
| IAM/AD設定の検証 | アプリケーションで利用されるIAMやADに関して、最小権限の原則を大きく逸脱するものがないか検証 | |
| ID管理 | BaaSユーザー設定の検証 | 予期しない自己サインアップ等、ユーザー発行やID管理のプロセスに問題がないか検証 |
| IAM/AD設定の検証 | 望ましくないアクセスキーの利用がないか、望ましくないIAMロールの使い回しがないかなど検証 | |
| データセキュリティ | アクセス設定の検証 | オブジェクトストレージやデータベースが、予期せず外部からアクセス可能になっているかなど検証 |
| 暗号化設定の検証 | サーバーサイド暗号化(SSE)が適切に利用されているかなど検証 | |
| ネットワークセキュリティ | TLS設定検証 | サポートしているTLSのバージョンにより、中間者攻撃の可能性がないかなど検証 |
| ネットワーク到達性検証 | 外部ネットワークから予期しないポートに通信が到達しないかなど検証 | |
| 鍵管理 | 鍵のハードコードがないか検証 | Kubernetes SecretやSecret Manager/Key Vaultなどの鍵管理サービスを利用すべき場面で、ハードコードが行われていないか検証 |
| キーローテーション設定の検証 | 鍵管理サービスにおいて、キーローテーションが適切に設定されているかなど検証 | |
| コンピューティングリソースのセキュリティ | 既知脆弱性の検証 | IaaSインスタンスで利用しているパッケージなどに既知脆弱性がないかなど検証 |
| メタデータAPIの保護に関する検証 | メタデータAPIやKubernetes APIに対して、適切な保護が行われているかなど検証 | |
| ログ設定 | ログ設定の検証 | クラウドのアクティビティログやネットワークログなど、インシデント発生時に必要となる証跡設定が適切に行われているか検証 |
| ログの整合性検証設定の検証 | インシデント発生時のログ改竄を検知するため、整合性検証の設定が行われているか検証 | |
| 脅威検知設定 | 脅威検知サービスの設定の検証 | GuardDutyなど、脅威検知サービスが適切に設定されているか検証 |
| 環境の分離と保護 | ネットワークの分離 | VPCやサブネットなど、ネットワークの分離が要件に合わせ適切に実施されているか検証 |
| 実行環境の分離 | コンテナ実行環境が適切に分離されているかなど検証 | |
| 開発ライフサイクル | IaaSパッチ管理設定 | マネージドサービスを利用して適切なパッチ適用プロセスが設定されているかなど検証 |
| コンテナイメージスキャン設定 | デプロイサイクルの中でコンテナの脆弱性スキャンが適切に行われているかなど検証 | |
上記は、あくまで一例です。ご利用中のクラウドの種類、ご予算、ご要望に応じて、診断内容のカスタマイズを承りますので、気軽にご相談ください。
診断料金のお見積もり事例
Quotation
クラウド診断の料金の目安です。お客さまのシステム構成、診断対象、診断内容、納期、その他付随するサービスなど、ご要望に応じて料金は異なります。
- 対象クラウド
- AWS
- 診断プラン
- ライトプラン
- 標準納期
- 5営業日
- 診断対象
- Amazon EC2 1台
- 料金(税込)
- 242,000円
- 納品物
-
Amazon
Inspectorフルレポート(英語)
ソリューションアーキテクトによる評価レポート(日本語)
概要
- Amazon EC2 1台に対して、Amazon Inspectorを利用した診断を1回実施いたします。
- ロール(機能)ごとに1台として数えます。冗長構成、プロダクション環境、ステージング環境、開発環境である場合、1つのロールを1台として数えます。
- Amazon Inspectorのご利用に伴う料金、その他のAWS料金は、お客さまのご負担となります。
- 脆弱性が検出された際の対策に伴う作業料金、再診断の料金は含まれていません。診断結果に対する設計・構築に関するコンサルティング、また構築代行の料金は、別途お見積もりとなります。
- 対象クラウド
- AWS
- 診断プラン
- スタンダードプラン
- 標準納期
- 6営業日
- 診断対象
- 対象となるコンピューティングリソースは問いません。
- 料金(税込)
-
1,540,000円
※ ヒアリング後、正式なお見積もりをご提出いたします。 - 納品物
- 診断結果報告書(日本語)
概要
- AWS上のクラウド環境を対象に、Orca Securityを利用した診断を1回実施いたします。
- 脆弱性が検出された際の対策に伴う作業料金、再診断の料金は含まれていません。診断結果に対する設計・構築に関するコンサルティング、また構築代行の料金は、別途お見積もりとなります。
- 改修後の再診断は、330,000円(税込)で承ります。
- 報告会をご希望の場合、1時間単位で別途お見積もりいたします。
- 対象クラウド
- AWS
- 診断プラン
- アドバンスドプラン
- 標準納期
- 12営業日
- 診断対象
-
AWSの利用サービス数:25
AWSマネージドサービス数
・VM:30
・Amazon S3:50
・IAMユーザー:30
・IAMポリシー:100
・AWS Lamda:100
・AWS CloudFormation:100
・AWS CodeCommit:80
- 料金(税込)
-
3,080,000円
※ ヒアリング後、正式なお見積もりをご提出いたします。 - 納品物
- 診断結果報告書(日本語)
概要
- AWS上のクラウド環境を対象に、セキュリティエンジニアによるマニュアル診断、またOrca Securityを併用した診断を1回実施いたします。
- 脆弱性が検出された際の対策に伴う作業料金、再診断の料金は含まれていません。診断結果に対する設計・構築に関するコンサルティング、また構築代行の料金は、別途お見積もりとなります。
- 改修後の再診断は、440,000円(税込)で承ります。
- 報告会をご希望の場合、1時間単位で別途お見積もりいたします。
診断の流れ
Flow
-
ヒアリング
&事前準備診断対象に関するヒアリングや機密保持契約書の締結など、事前準備を行います。
- ご希望の納期、セキュリティ要件、サービス概要などのヒアリング
- アーキテクチャ図のご共有
- クラウド環境へのアクセスによるシステム構成の把握
診断対象やご予算、ご要望を考慮した上で、CloudCREWから診断プランをご提案いたします。お見積もりと一緒にご提出いたします。診断プランが決まりましたら、ご発注・ご契約いただきます。
-
診断実施
クラウド診断を実施いたします。
なお、深刻な問題が発見された場合、速報としてご連絡いたします。 -
診断結果報告書&改善案提出
総合評価、脆弱性の詳細や再現手順、推奨する対策などを報告書としてご提出いたします。
-
診断後サポート
診断結果報告書のご提出より約1カ月は、報告書に関するご質問を承ります。
改修作業など、ご要望に応じてクラウド環境に関する技術サポートのご依頼も承ります。
必要に応じて、再診断および再診断後のサポートを承ります。
クラウドとセキュリティの専門家で連携、
シームレスなサポート体制を構築
Comprehensive support for cloud security
assessment
AWS、Google Cloud に特化した技術者集団であるCloudCREWは、国内最大規模のホワイトハッカー組織(2021年12月時点)を有するGMOサイバーセキュリティ byイエラエ株式会社と提携して、セキュリティリスクの解消・低減を目指したシームレスなサポート体制を敷いています。これにより、診断前のコンサルティング、高精度の脆弱性診断の実施から診断結果のご報告、セキュリティの課題解消に向けた施策のご提案・実行に至るまで、ワンストップで包括的なサポートを受けられるようになります。クラウドや脆弱性診断に不慣れなお客さまでも、安心してご利用いただけます。
AWS / Google Cloud の認定パートナー
AWSパートナー、Google Cloud Service パートナーであるCloudCREWは、法人ビジネスのIT基盤となるクラウド開発・設計、監視・運用を専門としています。
技術力に定評あるホワイトハッカー組織
豊富な診断実績で培った高い技術力を駆使し、ハッカーの攻撃手法を熟知したセキュリティエンジニアが攻撃者目線で評価を行います。
クラウド診断の専門家がわかりやすく解説
AWSのセキュリティ上の課題とそれを克服する診断とは?
AWSでのセキュリティのポイントに焦点をあて、GMOサイバーセキュリティ byイエラエ株式会社にセキュリティインシデント事例、診断で見つかるAWSの設定不備や管理のポイントを詳しく解説いただきました。